Web 安全基础：开发者必须知道的 5 个漏洞

安全不是可选，是必须。这 5 个漏洞最常见。

1. SQL 注入

# ❌ 危险
query = f"SELECT * FROM users WHERE id = {user_id}"

# ✅ 安全
cursor.execute("SELECT * FROM users WHERE id = ?", (user_id,))

2. XSS 跨站脚本 用户输入永远不要直接渲染到 HTML，要转义。

3. CSRF 跨站请求伪造 所有表单加 CSRF token，验证来源。

4. 敏感信息泄露

• 不要硬编码密码、密钥
• 用环境变量或密钥管理服务
• 错误信息不要暴露内部细节

5. 认证授权问题

• 密码加密存储（bcrypt）
• 会话超时机制
• 权限校验在服务端

安全清单：

• 所有输入都验证
• 所有输出都转义
• 用 HTTPS
• 定期更新依赖
• 做安全审计

安全是习惯，不是功能。